| あなたは,Windows Server 2003のInternet Information Services(IIS)を使ってWebサーバーを運用している。経営陣は,過去のIISでWebDAVのセキュリティ・ホールが見つかったことを重視し,予防的にWebDAVを停止することを希望している。あなたが行うべき作業を選びなさい。
1:IIS Lockdownツールを使う 2:IIS の管理ツールを使う 3:メタベースを編集する 4:レジストリ・エディタを使う 正解:2 |
WebDAV(Webによる分散オーサリングおよびバージョン管理)は,HTTP(ハイパーテキスト転送プロトコル)を使ったファイル共有プロトコルであり,RFC 2518として標準化されている。マイクロソフトでは,Windows 2000以降のIISでWebDAVをサポートする。WebDAVによるファイル共有の最も大きな利点は,HTTPを使うため容易にファイアウオールを越えられることである。
ところが,Windows 2000 Serverの標準コンポーネントであるIIS 5.0には,WebDAVのぜい弱性が発見された。これはMS03-007として知られている。このぜい弱性は,早期に修正モジュールが公開され,Windows 2000 Service Pack 4で正式に解決されている。もちろんWindows Server 2003ではWebDAVのぜい弱性は発見されていない。
しかし,使用していないコンポーネントに未知のぜい弱性が存在する可能性は常に残る。例えばWindows 2000 Serverでは多くのコンポーネントがOSと同時に自動的にインストールされる。このように管理者が意識しないモジュールが存在することは,セキュリティ的にも好ましくない。そこで,Windows Server 2003では以下のようなインストール方針を打ち出した。
●「あれば便利だ」というだけの理由で不要なコンポーネントを自動的にインストールしない。
●管理者の明示的な指定なしに拡張機能をインストールしない。
●管理者が不要だと思う(であろう)機能は,いつでも無効にできる。
具体的な例としてよく挙げられるのがIISである。Windows Server 2003ではIISは自動的にインストールされることはない。管理者が追加インストールしても,WebDAVやASP(Active Server Pages)などの拡張機能が自動的に有効になることはない。さらに,拡張機能をいったん有効にしても,あとで簡単に無効にできる。
 図●IISでWebDAVなどの拡張機能を禁止する設定(Windows Server 2003) [画像のクリックで拡大表示] |
このように,Windows Server 2003はセキュリティを十分に考慮して作成されたオペレーティング・システムであり,実際にも報告されるセキュリティ・ホールは他のオペレーティング・システムに比べて少ない。しかし,ソフトウエアが「完全である」という保証は事実上不可能であり,用心するに越したことはない。Windows Server 2003でWebDAVを停止するのは以上のような考えに基づいた処置である。
図[拡大表示]は,Windows Server 2003標準のIIS 6.0の管理ツール「インターネット・インフォメーション・サービス・マネージャ」を使ってWebDAVの設定を表示したところである。図から分かるように,既定では[禁止]になっている。
ただし,Windows 2000に搭載されているIIS 5.0の管理ツールにはこうした機能は存在しない。そこで「URLScan」というツールを使ってWebDAVを無効にする。URLScanは「IIS Lockdown」ツールの一部であり,マイクロソフトのWebサイトから無償でダウンロードできる(http://www.microsoft.com/japan/technet/security/tools/urlscan.mspx)。
設問は「Windows Server 2003」なので「IISの管理ツールを使う」のが正解である。なお,IISの設定データベースであるメタベースの編集やWindows本体の設定データベースであるレジストリの編集ツールのレジストリ・エディタを使うという方法は適切とはいえない。
